關(guān)于車聯(lián)網(wǎng)網(wǎng)絡(luò)安全開發(fā)的思考

網(wǎng)絡(luò)安全威脅將成為未來車企的主要市場責(zé)任之一。國內(nèi)網(wǎng)絡(luò)安全正在逐漸完善法規(guī)，以GBT40856為例，國內(nèi)標(biāo)準(zhǔn)具有很強(qiáng)的落地指導(dǎo)作用，能夠客觀全面地識(shí)別車輛信息交互系統(tǒng)中的信息安全隱患。

(資料圖片僅供參考)

上汽大眾網(wǎng)絡(luò)安全經(jīng)理吳建建表示，持續(xù)的安全軟件開發(fā)文化，無論采用瀑布、敏捷還是DevOps策略，持續(xù)的安全軟件開發(fā)思想文化需要被貫徹到開發(fā)過程的所有階段，包括需求、設(shè)計(jì)、開發(fā)、測(cè)試和發(fā)布。將車端網(wǎng)絡(luò)安全開發(fā)融入到傳統(tǒng)產(chǎn)品開發(fā)流程中，車型立項(xiàng)之初就要制定該車型的網(wǎng)絡(luò)安全政策文件，定義該車型采用的網(wǎng)絡(luò)安全目標(biāo)、風(fēng)險(xiǎn)分析模型、TARA方法論、風(fēng)險(xiǎn)管理辦法、風(fēng)險(xiǎn)接受流程等。在零部件定點(diǎn)的同時(shí)簽署CIA，明確供應(yīng)鏈責(zé)任，完善網(wǎng)絡(luò)安全開發(fā)流程。

吳建建 | 上汽大眾網(wǎng)絡(luò)安全經(jīng)理

以下為演講內(nèi)容整理：

車聯(lián)網(wǎng)網(wǎng)絡(luò)安全的挑戰(zhàn)

信息安全涵蓋車端和后臺(tái)，所有的鏈路很復(fù)雜，車輛對(duì)外的通訊接口很多?，F(xiàn)在有個(gè)流行的說法，汽車正在變成輪子上的計(jì)算機(jī)，這使得汽車成為一種新的誘人目標(biāo)，吸引大量的網(wǎng)絡(luò)攻擊。這些網(wǎng)絡(luò)攻擊不僅來自傳統(tǒng)，還來自于專業(yè)的組織。如下圖所示，像典型的重放攻擊、密碼攻擊、藍(lán)牙中繼攻擊等。

圖源：上汽大眾

關(guān)于網(wǎng)絡(luò)安全風(fēng)險(xiǎn)的態(tài)勢(shì)，我查找了些2022年的報(bào)告。數(shù)據(jù)顯示，2022年整年，有300起媒體報(bào)道的安全事件；2023年3月，意大利個(gè)人數(shù)據(jù)保護(hù)局禁止使用ChatGPT，并暫時(shí)限制OpenAI處理意大利用戶數(shù)據(jù)；另外是今年2月北京的一個(gè)友商因數(shù)據(jù)泄密問題，被法院判決；最嚴(yán)重的是去年7月，某網(wǎng)約車因違反《網(wǎng)絡(luò)安全法》《數(shù)據(jù)安全法》《個(gè)人信息保護(hù)法》被罰款近百億元。關(guān)于網(wǎng)絡(luò)安全漏洞的數(shù)量，有報(bào)告顯示，其增長態(tài)勢(shì)非常迅猛，已接近成倍的數(shù)量。

圖源：上汽大眾

這么多人利用漏洞對(duì)我們的車輛發(fā)起攻擊，到底是誰在攻擊呢？專業(yè)化的黑客組織就是其中之一。漏洞到底分布在哪里？從報(bào)告上看，最嚴(yán)重的是在芯片上；其次是整車，以及基礎(chǔ)軟件模塊的供應(yīng)商。

網(wǎng)絡(luò)安全法律法規(guī)

網(wǎng)絡(luò)安全政策法規(guī)的發(fā)行越來越密集，從2017年《網(wǎng)絡(luò)安全法》出臺(tái)到今年3月廣東會(huì)議結(jié)束，軟件升級(jí)基本凍結(jié)了。

國內(nèi)的法規(guī)與國際還是有差異的。我國的法規(guī)有一個(gè)體系：會(huì)有一個(gè)法規(guī)，還有大量的政策文件。在歐洲可能一個(gè)法規(guī)，跟一個(gè)標(biāo)準(zhǔn)就結(jié)束了。而我們要要考慮到大量的政策文件，這些政策文件搞不準(zhǔn)什么時(shí)間就發(fā)布了。網(wǎng)絡(luò)安全工作者需要持續(xù)關(guān)注，我們的輸入源非常多，落地的標(biāo)準(zhǔn)較具化，所以一些指導(dǎo)文件還需要行業(yè)群策群力，共同去解讀。

例如，關(guān)于GBT標(biāo)準(zhǔn)40856，就是大家共同做的GBT標(biāo)準(zhǔn)。下圖是該標(biāo)準(zhǔn)最基礎(chǔ)的結(jié)構(gòu)，與大家常提到的網(wǎng)絡(luò)安全的各種手段措施、架構(gòu)體系驚人的一致。在我們尋找解決方案時(shí)，GBT已經(jīng)可以解決大部分問題，前提是我們?cè)趪?yán)格遵守，或直接將該標(biāo)準(zhǔn)引入到開發(fā)中。

圖源：上汽大眾

網(wǎng)絡(luò)安全應(yīng)對(duì)措施

在體系架構(gòu)層面，網(wǎng)絡(luò)安全從公司體系來講是跨部門的，作為網(wǎng)絡(luò)安全工作者，要推動(dòng)從開發(fā)、測(cè)試、運(yùn)營、質(zhì)量、生產(chǎn)的各個(gè)部門，甚至采購部門的安全工作。一個(gè)5-10人的網(wǎng)絡(luò)安全小組不可能完成整車廠的網(wǎng)絡(luò)安全。最近，我也看到一些友商分享的網(wǎng)絡(luò)安全管理的關(guān)鍵模塊。就我個(gè)人而言，風(fēng)險(xiǎn)管理、應(yīng)急響應(yīng)、風(fēng)險(xiǎn)監(jiān)控和開發(fā)大家都會(huì)做，但若想做好，可以進(jìn)一步細(xì)化。我們主要參考21434，每個(gè)模塊都有獨(dú)立部門去領(lǐng)導(dǎo)，當(dāng)發(fā)現(xiàn)問題、評(píng)估風(fēng)險(xiǎn)時(shí)，有個(gè)專業(yè)的人可以站出來精細(xì)化地提升。

圖源：上汽大眾

有了體系結(jié)構(gòu)后，要把信息安全、網(wǎng)絡(luò)安全理念開發(fā)出來，還存在著一個(gè)問題：對(duì)很多供應(yīng)商而言，信息安全是新的事物，大家都在齊頭并進(jìn)，導(dǎo)入在線融合，引入新的信息安全基因，但這個(gè)畢竟還需要時(shí)間。我們沒有辦法一次性把供應(yīng)商全部拉齊。首先從法律意義上，我們要傳遞責(zé)任，CIA是較好的傳導(dǎo)網(wǎng)絡(luò)安全責(zé)任的手段。我們?cè)诤芏囗?xiàng)目上，一旦識(shí)別出零件是網(wǎng)絡(luò)安全的，做完整車預(yù)分析發(fā)現(xiàn)屬于關(guān)鍵系統(tǒng)，就與車機(jī)供應(yīng)商在定點(diǎn)的同時(shí)簽署CIA，避免后簽或者補(bǔ)簽。但實(shí)際工作中，CIA還遠(yuǎn)遠(yuǎn)不夠。我們可能很擅長開發(fā)零件，再去開發(fā)一個(gè)網(wǎng)絡(luò)安全零件似乎沒什么大問題。但網(wǎng)絡(luò)安全零件會(huì)持續(xù)更新，在SOP時(shí)，該零件的確具備了網(wǎng)絡(luò)安全特性，是合規(guī)的，但漏洞每天都在產(chǎn)生，操作系統(tǒng)不斷升級(jí)，內(nèi)核年年變。CIA只定義了供應(yīng)商有升級(jí)的義務(wù)，但沒定義代價(jià)是多少。我們對(duì)此有些思考，也有一些應(yīng)對(duì)手段，在CIA基礎(chǔ)上，補(bǔ)充網(wǎng)絡(luò)安全基礎(chǔ)要求，從義務(wù)和成本控制上雙重落實(shí)。

作為主機(jī)廠，我們要積極的加入標(biāo)準(zhǔn)組織；要履行安全開發(fā)責(zé)任，安全開發(fā)是一個(gè)全新的程，在開發(fā)中引入風(fēng)險(xiǎn)處置，要?jiǎng)?chuàng)立企業(yè)自己的網(wǎng)絡(luò)安全工具具箱（安全基線）。

如果未來有要更加模塊化，或許要把安全組件直接標(biāo)準(zhǔn)化。目前行業(yè)也在推SDK，每家SDK都不相同，做安全測(cè)試和安全認(rèn)可的工作量就會(huì)重復(fù)，主機(jī)廠也沒有辦法永遠(yuǎn)綁定一個(gè)SDK廠商。更合理的合作模式或許是由主機(jī)廠定義模塊，與安全廠商或芯片廠商加強(qiáng)合作，共同定義OEM級(jí)安全標(biāo)準(zhǔn)或安全組件，也可以節(jié)約Tier1的開發(fā)時(shí)間。因?yàn)榧幢闶呛艽蟮腡ier1，也可能沒有設(shè)立單獨(dú)的安全軟件模組開發(fā)部門，對(duì)于他們而言也是個(gè)負(fù)擔(dān)，因?yàn)樗枰弥贤偃フ襎ier2、Tier3，供應(yīng)鏈會(huì)特別長。與其如此，為什么不與芯片廠商、HSM、SE或安全啟動(dòng)芯片把啟動(dòng)的方案、啟動(dòng)的BSP、各種安全API直接定下來，一次性用到所有項(xiàng)目？這對(duì)主機(jī)廠的前期要求較高，我們之前的工作也沒下探這么深，所以對(duì)雙方來講是很大的挑戰(zhàn)。

網(wǎng)絡(luò)安全測(cè)試

安全測(cè)試有兩個(gè)級(jí)別：最基本的級(jí)別可以稱之為安全基線測(cè)試，安全基線的測(cè)試是主機(jī)廠的首要義務(wù)，其輸出目標(biāo)應(yīng)該是讓車輛達(dá)到準(zhǔn)入的水平，可以合規(guī)。企業(yè)也可以提更高的要求，但我認(rèn)為那是安全基線外圍的測(cè)試范圍。

總體來看，安全測(cè)試至少包含零部件級(jí)測(cè)試，如果零部件與其他模塊交流較少，就用零部件級(jí)測(cè)試；如果是與用戶相關(guān)的網(wǎng)聯(lián)功能，功能級(jí)的風(fēng)險(xiǎn)測(cè)試就非常必要了。

當(dāng)前，大家談信息安全，在與主機(jī)廠對(duì)接中有個(gè)很困惑的問題。安全到底由誰管？關(guān)于整車的網(wǎng)絡(luò)安全，要把云、管、端三個(gè)模塊連接起來，要定義清楚模塊間的握手協(xié)議。

就網(wǎng)絡(luò)安全而言，整車網(wǎng)絡(luò)安全應(yīng)該從設(shè)計(jì)階段開始嵌入到傳統(tǒng)開發(fā)的各個(gè)階段，在各個(gè)開發(fā)部門、各個(gè)閥點(diǎn)加入安全檢測(cè)點(diǎn)，各個(gè)開發(fā)部門都要有安全概念。

車企如何將網(wǎng)絡(luò)安全開發(fā)融入到工作流程？首先定點(diǎn)是最重要的，定點(diǎn)后，在A樣B樣時(shí)要有安全實(shí)現(xiàn)，此時(shí)要準(zhǔn)備足夠多的安全工具。最后是驗(yàn)證，APP和第三方生態(tài)引入對(duì)主機(jī)廠來說，并不是拿來主義，APP不是一定有安全開發(fā)和監(jiān)控的過程，在開發(fā)中我們至少要簽名和加固，滲透測(cè)試也是必須的，監(jiān)控中對(duì)于風(fēng)險(xiǎn)大的APP還要加裝探針。

圖源：上汽大眾

關(guān)于殘余風(fēng)險(xiǎn)管理，我們會(huì)對(duì)一些殘余風(fēng)險(xiǎn)進(jìn)行分級(jí)，根據(jù)殘余風(fēng)險(xiǎn)等級(jí)不同，對(duì)應(yīng)不同等級(jí)的安全責(zé)任人進(jìn)行決策授權(quán)。做到對(duì)每個(gè)風(fēng)險(xiǎn)的處置都有據(jù)可查，強(qiáng)化網(wǎng)絡(luò)安全風(fēng)險(xiǎn)管控。

作為網(wǎng)絡(luò)安全開發(fā)的負(fù)責(zé)人，下圖是我總結(jié)的一些安全基線。從控制器到車內(nèi)的模塊與模塊，再到整車EE架構(gòu)，最后是車輛對(duì)外通信。從下往上，模塊內(nèi)部至少所有的Spec是完備的。車內(nèi)零件與零件間，要有常規(guī)的SecOC報(bào)文認(rèn)證，IDS入侵檢測(cè)，IP安全， APP探針。架構(gòu)手段是最有效的，做到整車的體系認(rèn)證、安全風(fēng)險(xiǎn)分析、做好預(yù)隔離，做好安全網(wǎng)關(guān)，把安全域和非安全域分隔開可以節(jié)約大量的工作，當(dāng)然因?yàn)橐x一個(gè)全新的架構(gòu)，所以對(duì)企業(yè)的開發(fā)要求很高。對(duì)外通信方面，常規(guī)的安全防火墻、黑白名單等組成了目前的整車安全基線。

圖源：上汽大眾

總而言之，網(wǎng)絡(luò)安全測(cè)試范圍應(yīng)該包含代碼審核、符合性測(cè)試、漏洞掃描、模糊測(cè)試、合規(guī)測(cè)試、滲透測(cè)試六部分。

圖源：上汽大眾

針對(duì)合規(guī)，我認(rèn)為很有必要建立獨(dú)立的測(cè)試。與其把每個(gè)合規(guī)的功能分散到小模塊，不如全部收攏，在出報(bào)告、修復(fù)問題時(shí)，應(yīng)對(duì)審核人員的專業(yè)度也會(huì)更高，這也是一種方案。

（以上內(nèi)容來自上汽大眾網(wǎng)絡(luò)安全經(jīng)理吳建建于2023年4月20日-21日在2023第二屆中國汽車信息安全與數(shù)據(jù)安全大會(huì)發(fā)表的《車聯(lián)網(wǎng)網(wǎng)絡(luò)安全開發(fā)思考》主題演講。）